Łączy nas piłka, czyli analiza informatyki śledczej i bezpieczeństwa!
W środowisku specjalistów bezpieczeństwa IT i incident response narosło sporo nieporozumień związanych z analizami informatyki śledczej. Najczęstsze z nich to twierdzenie, że analiza informatyki śledczej to inna bajka, mająca niewiele wspólnego z bezpieczeństwem IT. To trochę tak jakby powiedzieć, że Wojciech Szczęsny i Łukasz Piszczek grają w inną piłkę nożną.
I rzeczywiście coś w tym jest. Oboje są piłkarzami, oboje w reprezentacji narodowej ale nie trzeba specjalnie znać się na futbolu żeby zauważyć, że mają nieco inne zadania na boisku. Za to łączy ich piłka i to, że grają do tej samej bramki. Podobnie jest pomiędzy analizami bezpieczeństwa w ramach reakcji na incydenty, a analizami informatyki śledczej. Z nazwy bardzo podobne, w praktyce część działań może się pokrywać ale są między nimi cztery podstawowe różnice, czyli:
- Cele bieżące
- Wymagania dotyczące danych
- Umiejętności zespołowe
- Korzyści
Różnica pierwsza: cele bieżące
To chyba najważniejszy element odmienności pomiędzy obydwoma rodzajami analiz. W analizach dotyczących reakcji na incydenty skupiamy się na szybkim (najlepiej czasie rzeczywistym) przeciwdziałaniu zagrożeniu. Analiza informatyki śledczej koncentruje się na pełnym zrozumieniu problemu, odpowiedzi na pytania: Kto? Co? Jak? Kiedy? W jaki sposób? Cel główny obu analiz jest wspólny: wyższy poziom bezpieczeństwa.
Wracając na murawę. W przypadku ataku na naszą połowę, Piszczek z kolegami będzie starał się nie dopuścić napastników zbyt blisko bramki. Mając większe pole manewru, Glika, Pazdana Cionka czy Rybusa w innych częściach linii obrony może w bardziej kompleksowy sposób przeciwdziałać zagrożeniu. Skuteczne przerwanie ataku może być okazją do wyprowadzenia naszej akcji. Cel bieżący Szczęsnego będzie bardziej prosty. Musi szybko, w „czasie rzeczywistym”, obronić strzał przeciwnika. Cel główny obu zawodników jest wspólny: nie dopuścić do utraty gola.
Różnica druga: wymagania dotyczące danych
CSIRT (Computer Security Incident Response Team) do swoich analiz wymagają zazwyczaj danych z „krótkoterminowych” źródeł, często nie starszych niż miesiąc. W wielu przypadkach ograniczają się nawet do ostatnich kilkunastu, kilkudziesięciu godzin. Informatycy śledczy podchodzą do sprawy w dłuższym czasookresie. Być może dlatego, że czas oczekiwania ze strony cyberprzestępców na skuteczny atak to według badań między 150, a 300 dni. Dlatego informatycy śledczy zmuszeni są niejako do analiz danych bardziej rozłożonych w czasie.
Podobnie jest na boisku. Szczęsny zaczyna aktywnie działać na kilka sekund przed finałem akcji przeciwnika. Piszczek z kolegami swoje działania włączają znacznie, znacznie wcześniej. Jednocześnie towarzyszą napastnikom do momentu oddania strzału, a często nawet ratują sytuację już po nim blokując tor lotu piłki na bramkę.
Różnica trzecia: umiejętności zespołowe
Oba rodzaje operacji analitycznych tak samo wymagają np.. analizy logów czy analizy złośliwego oprogramowania. CSIRT stara się jak najszybciej wyizolować zainfekowane urządzenie i opracować sposób na powstrzymanie incydentu. Interakcje w jakie wchodzą, dotyczą w większości przypadków tylko innych członków zespołu bezpieczeństwa. Zupełnie inaczej wygląda to u informatyków śledczych. Aby przeprowadzić analizy, często muszą wejść w interakcje z członkami wielu departamentów organizacji. Wymienić można na przykład zespół prawny, HR czy compliance.
Również na boisku znajdziemy podobieństwa. Bramkarz to często solista, wchodzący najczęściej w interakcje z obrońcami.Obrońcy muszą mieć wielokrotnie większe umiejętności zespołowe. Współpracują z całą drużyną od bramkarza począwszy, wspólnie ze sobą, poprzez pomocników, na napastnikach kończąc.
Różnica czwarta: korzyści
Biorąc pod uwagę powyższe, nie dziwi fakt, że z obu rodzajów analiz wynikać będą odrębne korzyści. Reakcja na incydenty i towarzysząca jej analiza bezpieczeństwa to proaktywne „polowanie” na zagrożenia i pierwsza linia obrony. Analiza informatyki śledczej jest mniej widowiskowa i mniej podnosi adrenalinę. Wykonana gruntownie pozwala na zrozumienie całego łańcucha zdarzeń i remediację wszystkich składników incydentu, z możliwością przeprowadzenia dowodów przed sądem włącznie. Zatem nie należy traktować tych dwóch obszarów odrębnie ale spojrzeć raczej jak na jeden zespół, w którym każdy jest potrzebny i każdy ma swoje zadania bo piłka jest przecież jedna.
A z okazji Mistrzostw Świata mamy do powiedzenia dwie rzeczy: Pooolskaaaaa! Biało-czerwoni!